오래된 콘텐츠입니다. 이 버전의 Well-Architected Framework는 현재 다음 위치에서 찾을 수 있습니다. https://docs.aws.amazon.com/ko_kr/wellarchitected/2022-03-31/framework/security.html

SEC 6: 컴퓨팅 리소스를 어떻게 보호 하시나요?

워크로드의 컴퓨팅 리소스는 다계층 방어를 통해 내/외부 위협으로부터 보호해야 합니다. 컴퓨팅 리소스에는 EC2 인스턴스, 컨테이너, AWS Lambda 함수, 데이터베이스 서비스, IoT 디바이스 등이 포함됩니다.

리소스

Securing Serverless and Container Services
Running high-security workloads on Amazon EKS
Security best practices for the Amazon EC2 instance metadata service
AWS Systems Manager
Replacing a Bastion Host with Amazon EC2 Systems Manager
Security Overview of AWS Lambda
Lab: Automated Deployment of Web Application Firewall

모범 사례:

취약성 관리 수행: 코드, 종속성 및 인프라의 취약성을 자주 스캔하고 패치하여 새로운 위협으로부터 보호합니다.
공격 대상 영역 축소: 운영 체제를 강화하고 사용 중인 구성 요소, 라이브러리 및 외부 사용 서비스를 최소화하여 공격 대상 영역을 줄입니다.
관리형 서비스 구현: 공유 책임 모델의 일환으로 보안 유지 관리 태스크를 줄일 수 있도록 Amazon RDS, AWS Lambda, Amazon ECS 등 리소스를 관리하는 서비스를 구현합니다.
컴퓨팅 보호 자동화: 취약성 관리, 공격 대상 영역 축소, 리소스 관리 등 컴퓨팅 보호 메커니즘을 자동화합니다.
사용자가 원격으로 작업을 수행할 수 있도록 지원: 대화형 액세스 기능을 제거하면 인적 오류의 위험과 수동 구성 또는 관리의 필요성을 줄일 수 있습니다. 예를 들어 변경 관리 워크플로를 사용하여 코드형 인프라로 EC2 인스턴스를 배포한 다음, 직접 액세스나 배스천 호스트를 허용하는 것이 아니라 도구를 사용하여 EC2 인스턴스를 관리합니다.
소프트웨어 무결성 검증: 워크로드에 사용되는 소프트웨어, 코드, 라이브러리가 신뢰할 수 있는 소스에서 온 것이며 변조되지 않았는지 검증하는 메커니즘(예: 코드 서명)을 구현합니다.

개선 계획

취약성 관리 수행

Amazon Inspector 구성: Amazon Inspector는 Amazon EC2 인스턴스의 네트워크 액세스 기능과 해당 인스턴스에서 실행되는 애플리케이션의 보안 상태를 테스트합니다. Amazon Inspector는 애플리케이션의 노출 정도, 취약성 및 모범 사례와의 차이를 평가합니다.
What is Amazon Inspector?

소스 코드 스캔: 라이브러리 및 종속성을 스캔하여 취약성을 검사합니다.
Amazon CodeGuru
OWASP: Source Code Analysis Tools

공격 대상 영역 축소

운영 체제 강화: 모범 사례에 맞춰 운영 체제를 구성합니다.
Securing Amazon Linux
Securing Microsoft Windows Server

컨테이너식 리소스 강화: 보안 모범 사례에 맞춰 컨테이너식 리소스를 구성합니다.

AWS Lambda 모범 사례: AWS Lambda의 모범 사례 구현
AWS Lambda best practices

관리형 서비스 구현

사용 가능한 서비스 탐색: Amazon RDS, AWS Lambda, Amazon ECS 등 리소스를 관리하는 서비스를 탐색, 테스트 및 구현합니다.
AWS Home

컴퓨팅 보호 자동화

구성 관리 자동화: 구성 관리 서비스 또는 도구를 사용하여 보안 구성을 자동으로 적용하고 확인합니다.
AWS Systems Manager
AWS CloudFormation
Lab: Automated deployment of VPC
Lab: Automated deployment of EC2 web application

EC2 인스턴스의 패치 적용 자동화: AWS Systems Manager Patch Manager는 보안 관련 업데이트와 기타 유형의 업데이트를 모두 사용하여 관리형 인스턴스를 패치하는 프로세스를 자동화합니다. Patch Manager를 사용하여 운영 체제와 애플리케이션 모두에 패치를 적용할 수 있습니다.
AWS Systems Manager Patch Manager
Centralized multi-account and multi-region patching with AWS Systems Manager Automation

침입 감지 및 차단 도구 구현: 침입 감지 및 차단 도구를 구현하여 인스턴스에서 악의적인 활동을 모니터링하고 중지합니다.

APN 파트너 솔루션 고려: APN 파트너는 고객 온프레미스 환경의 기존 제어 솔루션과 동등한 수준이거나, 동일하거나 통합된 업계 최고 수준의 수백 가지 제품을 제공합니다. 이러한 제품은 기존 AWS 서비스를 보완하여 클라우드 및 온프레미스 환경에 포괄적인 보안 아키텍처와 보다 원활한 환경을 배포할 수 있도록 해줍니다.
Infrastructure security

사용자가 원격으로 작업을 수행할 수 있도록 지원

콘솔 액세스 교체: AWS Systems Manager Run Command로 인스턴스에 대한 콘솔 액세스(SSH 또는 RDP)를 교체하여 관리 태스크를 자동화합니다.
AWS Systems Manager Run Command

소프트웨어 무결성 검증

메커니즘 조사: 코드 서명은 소프트웨어 무결성을 검증하는 데 사용할 수 있는 메커니즘입니다.
NIST: Security Considerations for Code Signing